Via i rischi con il Business Continuity Management

585

Un corretto processo di individuazione dei rischi permette di individuare le aree di miglioramento organizzativo e tecnico dell’azienda

[section_title title=Lezioni di Business Continuity]

Lezioni di Business Continuity
L’esperienza e i fatti quotidiani evidenziano una lunga serie non solo di disastri o eventi catastrofici, ma anche di più comuni emergenze e fatti inaspettati che, nonostante la nostra sofisticata tecnologia, spesso non sappiamo prevenire e su cui possiamo intervenire solo in modo marginale.
Per il business delle nostre aziende, le conseguenze di questi ultimi possono rivelarsi altrettanto gravi quanto quelle di eventi di maggior entità.
Quale relazione esiste tra tipi di rischio che appaiono molto diversi sia per tipologia, sia per entità – da un incendio a un atto terroristico, dai danni ai computer a un’epidemia influenzale?
La risposta è che, anche se causati da motivazioni del tutto differenti, la gestione delle loro conseguenze risponde a una serie di principi comuni, indipendenti dalle cause.
Questi principi sono oggi generalmente accettati con il nome di Business Continuity Management (BCM) o Controllo della Gestione Operativa (GCO).
Come vedremo nel caso studio seguente, l’applicazione di un corretto processo di individuazione dei possibili rischi permette di evidenziare più in generale quali sono le aree di miglioramento organizzativo e tecnico dell’azienda anche in condizioni normali.
In questo modo, la seguente implementazione dei principi BCM, in modo pervasivo e accompagnata dall’appropriata formazione, si declina in un miglioramento organizzativo complessivo e in una maggiore efficienza della normale operatività traducendosi, in ultima analisi, in un vantaggio competitivo.

Caso studio: la sanità si “cura” con il BCM
Un ospedale nel Sud della Svizzera (il nome è riservato per ovvi motivi di privacy) ha elaborato un piano di BCM di grande interesse per semplicità e facile interpretazione a costi marginali.
Come premessa si sono analizzati gli aspetti “esogeni”, cioè generati dall’esterno, e in particolare il livello di consapevolezza della BCM e delle procedure connesse nel mercato della sanità in generale.
Inoltre, fin dalle prime fasi, sono stati considerati gli aspetti legati agli adempimenti di responsabilità legale e quelli legati agli standard Joint Commission International che impattano le aziende ospedaliere.
In Svizzera, un requisito del bilancio annuale aziendale prevede che gli Azionisti debbano garantire e assicurare la continuità operativa delle attività ospedaliere, cosa che, in Italia, rientra nel quadro normativo della legge sulla protezione dei dati.
Quale dunque l’approccio che si è data l’azienda per soddisfare i requisiti di business continuity? Quello che potremmo definire “classico”, cioè seguendo le best practice già individuate e diffuse da organismi come il BCI.
In particolare sono stati identificati, a partire da un’analisi di processo, i servizi chiave che, se interrotti, avrebbero un grande impatto sull’azienda.
E di conseguenza sulla sua solidità economica, con una ricaduta sulla comunità.
Sono inoltre stati identificati i rischi che corrono questi servizi-chiave, con l’obiettivo di creare piani e azioni specifiche volti a ridurli al minimo livello accettabile, atto a garantire la continuità di questi servizi chiave.
Infine è stato sviluppato un piano che, in caso di evento imprevisto, permettesse all’organizzazione di riattivare nel più breve tempo possibile, quelli che siano stati colpiti dall’evento stesso.
Sotto questo aspetto, il processo è stato ispirato dalle procedure riconosciute come più efficaci a livello internazionale: British Standard BS25999; GoodPracticeGuidelines del BCI; PubliclyAvailableSpecification (PAS) 2015.